¿Cuál es la diferencia entre un método de control de acceso, un modelo de seguridad y una política de seguridad?

10

(Debería disculparme por adelantado porque esta pregunta va a ser complicada; intentaré refinarla a medida que el tema se aclare).

Estoy estudiando para el examen CISSP y me estoy confundiendo con las diferencias entre métodos de control de acceso , modelos de seguridad y políticas de seguridad .

Cuando originalmente estaba estudiando Control de Acceso Obligatorio, el instructor de video parecía estar estrechamente vinculado a Bell-Lapadula. Después de revisar, sin embargo, aquí está mi nueva comprensión:

Una Política de seguridad es la descripción general de los requisitos de una organización en lo que respecta a la seguridad. La política de seguridad realmente no le dice cómo incorporar esas pautas. Como ejemplo, considérelo como un plano arquitectónico para un edificio: la estructura está ahí pero los detalles no.

Un Modelo de seguridad es más específico y aborda cómo incorporar esas pautas. Como ejemplo, piense en ello como planos de construcción con detalles de electricidad, plomería, etc.

Un Método de control de acceso es un estándar con el que se alinea el Modelo de seguridad.

¿Estoy lejos de aquí?

-M

    
pregunta Mike B 12.05.2011 - 04:21
fuente

2 respuestas

2

Estás bastante en el dinero con tu comprensión, Mikey. Mi único pensamiento es que no necesariamente clasificaría un método de acceso como estándar, sino más bien un modelo que, si se cumple, le brinda algunas reglas que puede implementar en relación con el acceso.

Una cosa a tener en cuenta es que aunque el control generalmente se basa en la confidencialidad, como en Bell-Lapadula, el modelo de acceso puede basarse en la integridad. Recomendaría una buena lectura del Orange Book , o para un resumen, consulte < strong> entrada de wikipedia del modelo Biba : en este modelo, la clave está en los niveles de integridad, por lo que evita los datos se escriben desde un área de menor integridad a un área de mayor integridad, ya que eso podría afectar la integridad en el área superior.

    
respondido por el Rory Alsop 12.05.2011 - 09:21
fuente
0

Los métodos de control de acceso abordan principalmente el requisito de confidencialidad (lo que no significa que la confidencialidad solo se pueda proporcionar mediante el control de acceso).

Una política de seguridad define los requisitos de seguridad para el recurso que está tratando de proteger. Esto significa que incluye confidencialidad, integridad y otros. Principalmente se utiliza como un "contrato" cuando se recibe una solicitud. Se puede escribir en un idioma (estándar) que permita la verificación automática, por ejemplo. WS-Policy.

El modelo de seguridad define la forma en que se diseñan sus soluciones de seguridad, por lo que también tiene la solución en la descripción. Por lo general, comienza a tener descripciones para modelos de sandbox, capacidades de encriptación, etc ...

    
respondido por el Phoenician-Eagle 12.05.2011 - 08:13
fuente

Lea otras preguntas en las etiquetas